A.8.14 — Redundanz von Informationsverarbeitungseinrichtungen

Der Datenbankserver fällt aus — Hardwaredefekt, kein Vorzeichen. Das ERP steht still, die Produktion wartet, der Vertrieb kann keine Angebote erstellen. Vier Stunden später ist der Ersatzserver konfiguriert. Die Kosten des Ausfalls übersteigen die Investition in einen zweiten Server um ein Vielfaches. A.8.14 verlangt, dass Informationsverarbeitungseinrichtungen entsprechend den Verfügbarkeitsanforderungen redundant ausgelegt werden.

Redundanz bedeutet: Wenn eine Komponente ausfällt, übernimmt eine andere. Das gilt für Server, Netzwerke, Stromversorgungen, Speichersysteme und — bei hohen Anforderungen — ganze Rechenzentren.

Was verlangt die Norm?

Verfügbarkeitsanforderungen ermitteln. Für jeden Geschäftsdienst und jedes System die geforderte Verfügbarkeit festlegen (z.B. 99,5%, 99,9%, 99,99%).
Redundante Komponenten implementieren. Hardware, Netzwerke, Stromversorgungen oder ganze Systeme redundant auslegen — dem Verfügbarkeitsbedarf entsprechend.
Failover-Mechanismen definieren. Automatischer oder manueller Wechsel auf die redundante Komponente bei Ausfall. Die Umschaltzeit muss innerhalb der RTO liegen.
Regelmäßig testen. Failover-Mechanismen werden periodisch getestet, um sicherzustellen, dass sie im Ernstfall funktionieren.
Gleiches Sicherheitsniveau. Redundante Systeme müssen das gleiche Sicherheitsniveau wie die primären Systeme aufweisen.

In der Praxis

Business Impact Analysis (BIA) als Grundlage. Die BIA identifiziert kritische Systeme und ihre Verfügbarkeitsanforderungen. Daraus leiten sich die Redundanzmaßnahmen ab: Ein System mit 4 Stunden maximal tolerierter Ausfallzeit braucht eine andere Lösung als eines mit 15 Minuten.

Redundanz auf allen Ebenen prüfen. Netzwerk (redundante Switches, dual-homed Server), Storage (RAID, SAN-Replikation), Server (Cluster, Load Balancer), Strom (USV, redundante Netzteile, Notstromgenerator), Kühlung (redundante Klimaanlage). Ein Single Point of Failure in einer Ebene kann die Redundanz aller anderen Ebenen zunichtemachen.

Failover-Tests planen und durchführen. Simuliere den Ausfall einer Komponente und prüfe: Übernimmt die redundante Komponente innerhalb der definierten Zeit? Gehen Daten verloren? Werden Benutzer beeinträchtigt? Dokumentiere Ergebnisse und Korrekturmaßnahmen.

Geo-Redundanz bei hohem Schutzbedarf. Für Systeme mit sehr hohen Verfügbarkeitsanforderungen: ein zweiter Standort in ausreichender Entfernung (unterschiedliches Katastrophenrisiko). Synchrone oder asynchrone Datenreplikation je nach RPO.

Typische Audit-Nachweise

Auditoren erwarten bei A.8.14 typischerweise diese Nachweise:

Redundanzkonzept — dokumentierte Redundanzmaßnahmen pro kritischem System (→ IT-Betriebsrichtlinie im Starter Kit)
BIA-Ergebnisse — Verfügbarkeitsanforderungen und RTO/RPO pro System
Failover-Test-Protokolle — dokumentierte Tests mit Ergebnissen und Umschaltzeiten
Netzwerk-/Infrastrukturdiagramme — Visualisierung der redundanten Pfade
SLA der Cloud-/Hosting-Anbieter — Nachweis der zugesicherten Verfügbarkeit

KPI

Anteil der kritischen Verarbeitungseinrichtungen mit getesteten Redundanzmaßnahmen

Gemessen als Prozentsatz: Wie viele deiner kritischen Systeme haben implementierte und innerhalb der letzten 12 Monate getestete Redundanzmaßnahmen? Ziel: 100%.

Ergänzende KPIs:

Ungeplante Ausfallzeit pro System pro Jahr (Abgleich mit SLA)
Failover-Umschaltzeit im Test (Abgleich mit RTO)
Anzahl der Single Points of Failure in kritischen Systemen (Ziel: 0)

BSI IT-Grundschutz

A.8.14 mappt auf BSI-Bausteine für Rechenzentrum und Notfallmanagement:

INF.2 (Rechenzentrum) — Anforderungen an redundante Stromversorgung, Kühlung, Netzanbindung und physische Sicherheit.
DER.4 (Notfallmanagement) — Redundanz als Maßnahme zur Sicherstellung der Geschäftskontinuität.
SYS.1.1 (Allgemeiner Server) — Anforderungen an Hochverfügbarkeit und Clustering auf Serverebene.
NET.1.1 (Netzarchitektur) — redundante Netzwerkpfade und Netzwerkdesign.

Quellen

ISO/IEC 27001:2022 Annex A, Control A.8.14 — Redundanz von Informationsverarbeitungseinrichtungen
ISO/IEC 27002:2022 Abschnitt 8.14 — Umsetzungshinweise zur Redundanz
BSI IT-Grundschutz, INF.2 — Rechenzentrum

Häufig gestellte Fragen

Was ist der Unterschied zwischen Redundanz (A.8.14) und Backup (A.8.13)?

Redundanz sorgt für unterbrechungsfreien Betrieb bei einem Komponentenausfall — z.B. ein zweiter Server übernimmt automatisch. Backup sichert Daten für die Wiederherstellung nach einem Verlust. Redundanz schützt die Verfügbarkeit, Backup die Daten. Beides ergänzt sich.

Müssen alle Systeme redundant ausgelegt sein?

Die Norm verlangt Redundanz basierend auf den Verfügbarkeitsanforderungen. Ein System, das laut Business Impact Analysis 24 Stunden Ausfallzeit toleriert, braucht weniger Redundanz als ein System mit 99,99% Verfügbarkeitsanforderung. Die Verhältnismäßigkeit zählt.

Wie oft müssen Failover-Tests durchgeführt werden?

Mindestens jährlich, bei kritischen Systemen halbjährlich. Der Test muss einen realistischen Ausfall simulieren und prüfen, ob das Failover innerhalb der definierten RTO funktioniert. Ergebnisse werden dokumentiert.

Responsible	IT-Administrator
Accountable	ISB
Consulted	Alle Beschäftigten, Facility Manager, IT-Sicherheitsbeauftragter, Risikoeigentümer, Softwareentwickler/Architekt, Lieferantenmanagement
Informed	Asset-Eigentümer, IT-Leitung, Risikoeigentümer